"수분 내 기업 마비" 랜섬웨어, '씨큐비메이저 놀이터'가 네트워크서 초기 차단 길 열었다

사이버 보안 전문기업 씨큐비메이저 놀이터가 최근 폭발적으로 증가하는 랜섬웨어 공격에 선제적으로 대응할 수 있는 네트워크 기반 조기경보 시스템을 국내 최초로 선보여 주목받고 있다. 별도의 에이전트 설치 없이도 네트워크 트래픽 분석만으로 랜섬웨어 공격의 전(全) 단계를 실시간으로 추적, 초기 확산 단계에서부터 골든타임을 확보해 피해를 획기적으로 줄일 수 있을 것으로 기대된다.

씨큐비메이저 놀이터(대표 전덕조)는 자체 개발한 랜섬웨어 특화 탐지 엔진 '헌터 랜섬'(Hunter Ransom) TTP를 자사의 차세대 네트워크 위협 탐지 및 대응(NDR) 솔루션 '패킷사이버'(PacketCYBER)에 새롭게 탑재했다고 29일 밝혔다. 이 엔진은 MITRE ATT&CK 프레임워크를 기반으로 랜섬웨어 공격의 모든 전술과 기술(TTP, Tactics, Techniques, and Procedures)을 정밀하게 탐지하는 데 초점을 맞췄다.

랜섬웨어는 짧은 시간에 기업 전체의 데이터와 시스템을 마비시키는 치명적인 위협으로, 이중 갈취, 백업 파괴, 공급망 침투 등 공격 방식이 고도화되면서 피해 규모가 기하급수적으로 커지고 있다. 씨큐비메이저 놀이터의 '헌터 랜섬' TTP는 이러한 복합적인 공격 양상에 대응하기 위해 개발됐다.

가장 큰 특징은 에이전트리스(Agentless) 방식이다. 시스템에 소프트웨어를 설치할 필요 없이 네트워크 트래픽 분석만으로 작동하여, 엔드포인트 보안 솔루션이 설치되지 않은 IoT 기기나 개인 기기(BYOD)까지도 보호 범위에 자동으로 포함한다.

전덕조 씨큐비메이저 놀이터 대표는 "EDR이 방문을 지키는 경비원이라면, 패킷사이버는 건물 전체 CCTV를 통합 관제하며 침입자의 동선을 예측하는 보안센터와 같다"고 설명하며, 네트워크 한 지점 설치만으로 모든 기기의 움직임을 추적할 수 있는 차세대 NDR 솔루션으로서의 입지를 강조했다.

◇ 공격 라이프사이클 4단계 세분화, '암호화 임박'까지 경보

'헌터 랜섬' TTP는 메이저 놀이터 공격을 4단계로 세분화하여 공격의 전체 라이프사이클을 면밀히 감시한다. 이는 초기 단계에서부터 확산 전 '선제적 차단'을 가능하게 한다.

초기 침투 단계:방화벽을 우회하는 SMB 포트 스캔이나 난수형 도메인(DGA)을 이용한 외부 통신 시도를 즉각 포착한다.

내부 확산 단계:SMB 연결 급증 현상 또는 다수의 호스트에서 동시 발생하는 비콘(beacon) 신호를 분석해 조기 경보를 발령한다.

암호화 준비 단계:파일 서버 트래픽이 평상시보다 수십 배 증가하거나 데이터 엔트로피가 급등하는 패턴을 실시간 식별, '암호화 공격 임박' 경보를 발동해 최종 공격 직전의 골든타임을 확보한다.

C2 통신 및 협상 단계:Tor 또는 프록시를 통한 암호화 키 교환, 비트코인 주소 전달 등 은밀한 통신을 주기성 및 일관성 지표로 분석해 C2(Command & Control) 활동으로 최종 확정한다.

씨큐비메이저 놀이터는 이 엔진을 탑재한 '패킷사이버'를 금융, 의료, 국방, 통신 등 각 산업별 특성에 맞게 최적화시키고, 위협 탐지 시 자동 대응 시스템을 구축할 계획이다. 향후 EDR과 NDR을 결합한 통합 방어체계로 랜섬웨어에 대한 완벽한 대응 능력을 갖추겠다는 목표를 제시했다.

NDR 및 FDR 원천기술을 보유한 씨큐비메이저 놀이터는 주력 솔루션 '패킷사이버'로 공공기관, 금융기관, 국가기관 등에서 인정받고 있으며, NDR 유형으로는 국내 최초로 보안기능확인서 인증을 획득하는 등 기술력을 입증해왔다. 랜섬웨어 대응에 특화된 이번 '헌터 랜섬' TTP 상용화를 통해 국내외 사이버 보안 시장에서 독보적인 입지를 다질 수 있을지 관심이 모아지고 있다.